Introdução à AWS IAM Identity Center integração com o Amazon EMR

Esta seção ajuda você a configurar o Amazon EMR para integração com o. AWS IAM Identity Center

Tópicos

• Criação de uma instância do Centro de Identidade

• Criação de um perfil do IAM para o Centro de Identidade

• Adicionar permissões para serviços não integrados ao Centro de Identidade do IAM

• Criação de uma configuração de segurança habilitada para o Centro de Identidade

• Criação e execução de um cluster habilitado para o Centro de Identidade

• Configuração do Lake Formation para um cluster do EMR habilitado para o Centro de Identidade do IAM

• Como trabalhar com o S3 Access Grants em um cluster do EMR habilitado para o Centro de Identidade do IAM

nota

Para usar a integração do Centro de Identidade com o EMR, o Lake Formation ou a Concessão de Acesso do S3 devem estar habilitados. Você também pode usar ambos. Se nenhum estiver habilitado, a integração do Centro de Identidade não será compatível.

Criação de uma instância do Centro de Identidade

Se ainda não tiver uma, crie uma instância do Centro de Identidade na Região da AWS em que deseja executar o cluster do EMR. Uma instância do Centro de Identidade só pode existir em uma única região para uma Conta da AWS.

Use o AWS CLI comando a seguir para criar uma nova instância chamadaMyInstance:

aws sso-admin create-instance --name MyInstance

Criação de um perfil do IAM para o Centro de Identidade

Para integrar o Amazon EMR com AWS IAM Identity Center, crie uma função do IAM que se autentique com o Identity Center a partir do cluster do EMR. Sob o capô, o Amazon EMR usa SigV4 credenciais para retransmitir a identidade do Identity Center para serviços posteriores, como. AWS Lake Formation Seu perfil também deve ter as respectivas permissões para invocar os serviços downstream.

Ao criar o perfil, use a seguinte política de permissões:

{
  "Statement": [
    {
      "Sid": "IdCPermissions",
      "Effect": "Allow",
      "Action": [
        "sso-oauth:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "GlueandLakePermissions",
      "Effect": "Allow",
      "Action": [
        "glue:*",
        "lakeformation:GetDataAccess"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AccessGrantsPermissions",
      "Effect": "Allow",
      "Action": [
        "s3:GetDataAccess",
        "s3:GetAccessGrantsInstanceForPrefix"
      ],
      "Resource": "*"
    }
  ]
}

A política de confiança para essa função permite que InstanceProfile papel para permitir que ele assuma o papel.

{
    "Sid": "AssumeRole",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::12345678912:role/EMR_EC2_DefaultRole"
    },
    "Action": [
        "sts:AssumeRole",
        "sts:SetContext"
    ]
}

Se o perfil não tiver credenciais confiáveis e acessar uma tabela protegida pelo Lake Formation, o Amazon EMR define automaticamente o principalId do perfil assumido como userID-untrusted. A seguir está um trecho de um CloudTrail evento que exibe o. principalId

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ABCDEFGH1JKLMNO2PQR3TU:5000-untrusted",
        "arn": "arn:aws:sts::123456789012:assumed-role/EMR_TIP/5000-untrusted",
        "accountId": "123456789012",
        "accessKeyId": "ABCDEFGH1IJKLMNOPQ7R3"
        ...

Adicionar permissões para serviços não integrados ao Centro de Identidade do IAM

AWS credenciais que usam o Trusted Identity Propagation, as políticas do IAM definidas na função do IAM para todas as chamadas feitas para serviços não integrados ao IAM Identity Center. Isso inclui, por exemplo, AWS Key Management Service o. Seu perfil também deve definir as permissões do IAM para quaisquer serviços desse tipo que você tentaria acessar. Os serviços integrados do IAM Identity Center atualmente suportados incluem AWS Lake Formation Amazon S3 Access Grants.

Para saber mais sobre a Propagação de Identidade Confiável, consulte Propagação de Identidade Confiável entre aplicativos.

Criação de uma configuração de segurança habilitada para o Centro de Identidade

Para executar um cluster do EMR com a integração do Centro de Identidade do IAM, use o exemplo de comando a seguir para criar uma configuração de segurança do Amazon EMR que tenha o Centro de Identidade habilitado. Cada configuração é explicada abaixo.

aws emr create-security-configuration --name "IdentityCenterConfiguration-with-lf-accessgrants" --region "us-west-2" --security-configuration '{
    "AuthenticationConfiguration":{
        "IdentityCenterConfiguration":{
            "EnableIdentityCenter":true,
            "IdentityCenterApplicationAssigmentRequired":false,
            "IdentityCenterInstanceARN": "arn:aws:sso:::instance/ssoins-123xxxxxxxxxx789"
        }
    },
    "AuthorizationConfiguration": {
        "LakeFormationConfiguration": {
            "AuthorizedSessionTagValue": "Amazon EMR"
        },
        "IAMConfiguration": {
          "EnableApplicationScopedIAMRole": true,
          "ApplicationScopedIAMRoleConfiguration": {
            "PropagateSourceIdentity": true
          }
        }
    },
    "EncryptionConfiguration": {
        "EnableInTransitEncryption": true,
        "EnableAtRestEncryption": false,
        "InTransitEncryptionConfiguration": {
            "TLSCertificateConfiguration": {
                "CertificateProviderType": "PEM",
                "S3Object": "s3://amzn-s3-demo-bucket/cert/my-certs.zip"
            }
        }
    }
}' 

• EnableIdentityCenter: (obrigatório) habilita a integração do Centro de Identidade.

• IdentityCenterInstanceARN: (opcional) o ARN da instância do Centro de Identidade. Se isso não estiver incluído, o ARN existente da instância do Centro de Identidade do IAM será pesquisado como parte da etapa de configuração.

• IAMRoleForEMRIdentityCenterApplicationARN: (obrigatório) o perfil do IAM que adquire tokens do Centro de Identidade do cluster.

• IdentityCenterApplicationAssignmentRequired : (booleano) determina se uma atribuição será necessária para usar a aplicação do Centro de Identidade. Esse campo é opcional. Se um valor não for fornecido, o padrão será false.

• AuthorizationConfiguration ou LakeFormationConfiguration: opcionalmente, configure a autorização:

  • IAMConfiguration— Permite que o recurso EMR Runtimes Roles seja usado além de sua identidade TIP. Se você habilitar essa configuração, você (ou o AWS serviço do chamador) deverá especificar uma função de tempo de execução do IAM em cada chamada para as etapas do EMR ou do EMR. GetClusterSessionCredentials APIs Se o cluster EMR estiver sendo usado com o SageMaker Unified Studio, essa opção será necessária se o Trusted Identity Propagation também estiver habilitado.

  • EnableLakeFormation: habilite a autorização do Lake Formation no cluster.

Para habilitar a integração do Centro de Identidade com o Amazon EMR, você deve especificar EncryptionConfiguration e IntransitEncryptionConfiguration.

Criação e execução de um cluster habilitado para o Centro de Identidade

Agora que configurou o perfil do IAM que se autentica ao Centro de Identidade e criou uma configuração de segurança do Amazon EMR com o Centro de Identidade habilitado, você pode criar e executar seu cluster com reconhecimento de identidade. Para ver as etapas de execução do cluster com a configuração de segurança necessária, consulte Como especificar uma configuração de segurança para um cluster do Amazon EMR.

As seguintes seções descrevem como configurar o cluster habilitado pelo Centro de Identidade com opções de segurança compatíveis com o Amazon EMR:

• Como trabalhar com o S3 Access Grants em um cluster do EMR habilitado para o Centro de Identidade do IAM

• Configuração do Lake Formation para um cluster do EMR habilitado para o Centro de Identidade do IAM